auditdを使用してユーザーが実行したsshコマンドをすぐにキャプチャする方法はありますか?
図は、ユーザーがコマンドを送信し、auditdがコマンドを実行したときにそれをキャプチャする状況を示しています。この時点で、スクリプトはコマンドを許可するかブロックするかを決定できます。
/etc/pam.d/sshd
追加しようとして編集しました。
session required pam_tty_audit.so enable=*
ここでの問題は、auditdがコマンドをキャプチャして記録した後に大きな遅延が発生した場合、またはユーザーがログアウトした後に発生することです。
私はauditdルールを使うとこれが可能だと思いますが、どうすればいいのかわかりません。私は他の方法とは異なるパッケージ(Debianでは標準が望ましい)を受け入れます。
編集する:straceを使用してsshプロセスpidを識別し、stdinを受信してコマンドをキャプチャできますが、新しい接続ごとに異なるpidがあるため、これを自動化する方法がわかりません。